Threat Database Mobile Malware FakeCopAndroidマルウェア

FakeCopAndroidマルウェア

FakeCopマルウェアは、被害者のAndroidデバイスを制御し、多数の侵入行為を実行する可能性のある脅威です。 FakeCopの高度なバージョンが、日本のユーザーを標的とした攻撃キャンペーンで展開されていることが確認されています。この脅威は、duckdnsという名前の無料のDNSサービスに接続された多数のURLでホストされていました。同じduckdnsも、日本のユーザーを標的としたフィッシングキャンペーンの一環として悪用されています。 Infosecの専門家は、FakeCopは、FlubotMedusaなどの他のAndroidマルウェアの脅威と同様の方法でSMSを介して拡散できると考えています。

攻撃の詳細

ユーザーをだますために、FakeCopの脅威は、日本で人気のある合法的なセキュリティソリューションを模倣したいくつかの武器化されたアプリケーションに注入されました。たとえば、そのような偽のアプリケーションの1つは、NTTドコモが公開している正規のプライバシーサービスアプリケーションであるAnshinSecurityからのものであるかのようにモデル化されています。さらに、このアプリケーションには、Playストアで入手できるSecure InternetSecurityアプリケーションのアイコンも表示されます。

安全でないアプリケーションの1つを起動すると、20種類のデバイス権限が要求されます。その後、攻撃操作のコマンドアンドコントロール(C2、C&C)サーバーから受信したコマンドに応じて、12個を悪用してデバイスに侵入アクションを実行する可能性があります。変更されたFakeCopマルウェアは、連絡先、SMS、アプリリスト、アカウント情報、ハードウェアの詳細などの個人情報を収集できます。また、デバイスのSMSデータベースを変更または削除することもできます。指示があれば、FakeCopは被害者からの対話を必要とせずにSMSメッセージを送信することもできます。スパイウェア機能とは別に、この脅威は、サイバー犯罪者によって提供されたコンテンツを通知の形で表示することもできます。

検出の回避

観察されたFakeCopバージョンは非常にとらえどころのないものです。攻撃者は、カスタムメイドのパッカーを使用して、静的検出を使用したセキュリティソリューションから脅威の動作をマスクしました。ハッカーのカスタムパッキング技術は、最初に脅威のコードを暗号化し、次にそれをアセットフォルダーにある特定のファイル内に保存します。

さらに、FakeCopバリアントは、侵入先のデバイスにすでに存在するセキュリティソリューションのチェックを実行します。特定のセキュリティアプリのリストと一致すると、FakeCOpは、正当なセキュリティプログラムをアンインストールまたは無効化するようにユーザーに求める通知を生成します。このようにして、脅威は感染したAndroidシステムでの永続性を保証します。

トレンド

最も見られました

読み込んでいます...